一种表单数据操作权限授权方法与流程

本发明涉及一种erp等管理软件表单数据操作权限授权方法。

背景技术

企业管理系统中的表单种类较多，如客户表单、合同表单、订单表单等，企业中不同的角色对表单的操作权限也不尽相同。传统企业管理软件中，通过表单对表单数据的操作权限进行控制是系统的基本授权方式，但只能对整个表单进行整体授权，无法做到针对某条（一条或多条）表单数据的具体操作权限进行授权。传统表单授权方式中，表单数据指的是属于该表单的一定范围内的数据，且在授权时不需要判断表单上的表单字段是否已经获取字段值，其表单字段是否获取字段值与该授权方式无关。

比如：传统表单授权方式能够做到：授权李四能够查看（修改、删除）电器行业的所有客户（比如电器行业的客户有10000个，其中一个客户是海尔电器公司），授权王五能够查看（修改、删除）建筑行业的所有客户（比如建筑行业的客户有5000个，其中一个客户是海天建筑公司）。但传统通过表单对表单数据操作权限进行授权的方式无法做到只针对海尔电器或海天建筑公司进行操作权限的授权，授权时存在一定的局限性。

传统表单授权方式不能实现对具体某条（一条或多条）表单数据的分别独立授权，一旦对表单按某规则授予权限，则该表单下符合该规则的所有数据都被授予了权限，企业的信息安全堪忧，可能造成企业部分机密表单数据外泄，给企业造成风险。

此外，基于角色的访问控制（rbac）是近年来研究最多、思想最成熟的一种数据库权限管理机制，它被认为是替代传统的强制访问控制（mac）和自主访问控制（dac）的理想候选。传统的自主访问控制的灵活性高但是安全性低，强制访问控制安全性高但是限制太强；基于角色的访问控制两者兼具，不仅易于管理而且降低了复杂性、成本和发生错误的概率，因而近年来得到了极大的发展。基于角色的访问控制（rbac）的基本思想是根据企业组织视图中不同的职能岗位划分不同的角色，将数据库资源的访问权限封装在角色中，用户通过被赋予不同的角色来间接访问数据库资源。

在大型应用系统中往往都建有大量的表和视图，这使得对数据库资源的管理和授权变得十分复杂。由用户直接管理数据库资源的存取和权限的收授是十分困难的，它需要用户对数据库结构的了解非常透彻，并且熟悉sql语言的使用，而且一旦应用系统结构或安全需求有所变动，都要进行大量复杂而繁琐的授权变动，非常容易出现一些意想不到的授权失误而引起的安全漏洞。因此，为大型应用系统设计一种简单、高效的权限管理方法已成为系统和系统用户的普遍需求。

基于角色的权限控制机制能够对系统的访问权限进行简单、高效的管理，极大地降低了系统权限管理的负担和代价，而且使得系统权限管理更加符合应用系统的业务管理规范。

然而，传统基于角色的用户权限管理均采用“角色对用户一对多”的关联机制，其“角色”为组/类性质，即一个角色可以同时对应/关联多个用户，角色类似于岗位/职位/工种等概念，这种关联机制下对用户权限的授权基本分为以下三种形式：1、如图1所示，直接对用户授权，缺点是工作量大、操作频繁且麻烦；当发生员工变动（如调岗、离职等），该员工涉及到的所有表单操作权限必须要作相应调整，特别是对于公司管理人员，其涉及到的表单权限多，权限调整的工作量大、繁杂，容易出错或遗漏，影响企业的正常运营，甚至造成不可预估的损失。

2、如图2所示，对角色（类/组/岗位/工种性质）进行授权（一个角色可以关联多个用户），用户通过角色获得权限，审批操作主体是组/类性质角色；3、如图3所示，以上两种方式结合。

以上的表述中，2、3均需要对类/组性质的角色进行授权，而通过类/组/岗位/工种性质的角色进行授权和工作流控制的方式有以下缺点：1、用户权限变化时的操作难：在实际的系统使用过程中，经常因为在运营过程中需要对用户的权限进行调整，比如：在处理员工权限变化时，角色关联的某个员工权限发生变化，我们不能因该个别员工权限的变化而改变整个角色的权限，因为该角色还关联了其他权限未变的员工。因此为了应对该种情况，要么创建新角色来满足该权限发生变化的员工，要么对该员工根据权限需求直接授权（脱离角色）。以上两种处理方式，在角色权限较多的情况下对角色授权不仅所需时间长，而且容易犯错，使用方操作起来繁琐又麻烦，也容易出错导致对系统使用方的损失。

员工/用户的表单操作权限发生变化时，要么员工/用户脱离角色，要么新增角色来满足工作要求。第一种方式的缺陷同上述“直接对用户授权”方式的缺陷。第二种方式，新增角色便涉及到角色的新建、关联、授权工作，特别在角色多、角色关联的用户也多的情况下，角色具体关联了哪些用户是很难记住的。

2、要长期记住角色包含的具体权限难：若角色的权限功能点比较多，时间一长，很难记住角色的具体权限，更难记住权限相近的角色之间的权限差别，相近角色的权限也很容易混淆；若要关联新的用户，无法准确判断应当如何选择关联。

3、因为用户权限变化，则会造成角色创建越来越多（若不创建新角色，则会大幅增加直接对用户的授权），更难分清各角色权限的具体差别。

4、调岗时，若要将被调岗用户的很多个权限分配给另外几个用户承担，则处理时必须将被调岗用户的这些权限区分开来，分别再创建角色来关联另外几个用户，这样的操作不仅复杂耗时，而且还很容易发生错误。

技术实现要素：

本发明的目的在于克服现有技术的不足，提供一种表单数据操作权限授权方法，实现对具体的表单数据操作权限的分别授权，提高系统管理的精细度。

本发明的目的是通过以下技术方案来实现的：一种表单数据操作权限授权方法，包括一个选择表单数据的步骤、一个选择被授权者的步骤和一个操作权限授权步骤，选择表单数据的步骤和选择被授权者的步骤顺序不分先后；选择表单数据的步骤：选择一条或多条需要进行操作权限授权的表单数据；选择被授权者的步骤：选择一个或多个需要进行操作权限授权的被授权者；操作权限授权步骤：对所选被授权者进行所选表单数据的操作权限的授权。

还包括一个对每条所选表单数据的每个表单字段的字段值的查看和/或修改权限分别进行授权的步骤。

所述的操作权限授权步骤包括以下两种授权方式：（1）对所选的每一条表单数据分别进行操作权限授权；（2）对所选的所有表单数据整体进行操作权限授权。

所述的操作权限包括查看、修改、删除、打印、关联信息的查看权限中一种或多种的组合。

所述的被授权者包括人、用户、组/类性质角色、独立个体性质角色中的一种或多种的组合。

所述的被授权者为独立个体性质角色，独立个体性质角色与组/类性质角色不同，同一时段一个独立个体性质角色只能关联唯一的用户，而一个用户关联一个或多个独立个体性质角色。

所述独立个体性质角色归属于部门，该角色的名称在该部门下唯一，角色的编号在系统中唯一，根据角色的工作内容对角色进行授权，用户通过关联角色获得权限。

一种表单数据操作权限授权方法，包括以下顺序步骤：s1：选择表单数据：授权者选择一条或多条需要进行操作权限授权的表单数据；s2：选择被授权者：授权者选择一个或多个需要进行操作权限授权的被授权者，所述被授权者对所选表单数据的操作权限应当小于或等于所述授权者对所选表单数据的操作权限；s3：操作权限授权步骤：对所选被授权者进行所选表单数据的操作权限的授权。

选择一个被授权者时，显示出该授权者对所选表单数据具有的所有操作权限项，同时从授权者具有的所有操作权限项中选中所选被授权者对所选表单数据当前具有的操作权限项；选择多个被授权者时，显示出该授权者对所选表单数据具有的所有操作权限项，同时从授权者具有的所有操作权限项中选中所选被授权者对所选表单数据当前共有的操作权限项，或者罗列显示各被授权者对应的各个所选表单数据，并选中各被授权者对各个所选表单数据当前具有的操作权限项。

一种表单数据操作权限授权方法，包括以下顺序步骤：ss1：选择被授权者的步骤：授权者选择一个或多个需要进行操作权限授权的被授权者；ss2：选择表单数据的步骤：授权者选择一条或多条需要进行操作权限授权的表单数据；所选被授权者对所述表单数据的操作权限应当小于或等于授权者对所述表单数据的操作权限；ss3：操作权限授权步骤：对所选被授权者进行所选表单数据的操作权限的授权。

本发明的有益效果是：（1）本申请能够针对一条或多条表单数据进行分别独立授权，比如可以只针对海尔电器公司这一个客户进行操作权限授权，提高了系统管理的精细度，特别适用于需要对个别重要客户的表单数据或其他重要的个别的表单数据的操作权限进行单独设置的情形，有利于保护企业的机密表单数据不被泄露，满足企业实际使用需求。

本申请直接对表单数据进行授权，所述表单数据的表单上的必填字段是必须有值的，是已经创建了的具体的数据，比如“海尔电器公司”；而传统的基础授权是针对客户表单进行授权，并不是针对具体的一个或多个客户，而本申请是针对具体的客户如“海尔电器公司”进行授权。

举例：销售部有销售员李四、王五、赵六，销售部经理是张三；以传统的通过表单（客户表单）对表单数据的操作权限（查看、修改、删除、打印、导出）进行授权后，得到的结果是：李四负责电器行业的客户，其操作权限为查看（电器行业的客户中有一个客户是海尔电器公司），王五负责建筑行业的客户，其操作权限为查看、修改、删除（建筑行业的客户中有一个客户是海天建筑公司），赵六负责化工行业的客户，其操作权限为查看；张三负责电器、建筑行业的客户，其操作权限为查看、修改、删除、打印。传统方法对于被授权者而言，要么能看到某行业所有客户的表单数据，要么该行业一个客户的表单数据都看不到，无法单独控制某个被授权者对海尔电器公司、海天建筑公司（具体某一条表单数据）的操作权限。

本申请则可以对表单数据进行分别独立授权，如授权李四能看到所有电器行业的客户，但不允许看到海尔电器公司，又如授权王五看不到所有建筑行业的客户，但允许看到海天建筑公司。

（2）本申请授权者既可以是系统设置人员，也可以是具有一定表单数据操作权限的部门主管等，部门主管可以根据其所具备的操作权限对权限小于或等于他的被授权者进行授权操作，便于部门主管根据需要进行表单数据的授权控制，便于企业中层领导执行管理工作，符合企业实际使用需求。

举例：销售部经理张三考虑到销售人员赵六曾经在海尔电器公司担任过管理人员，便于销售洽谈，所以想让赵六负责该客户，张三要将海尔电器公司这个客户授权给赵六，张三仅授权赵六具有“海尔电器公司”这条表单数据的查看、修改等权限，其他员工都不具备这些权限。张三对海尔电器公司这个客户具有查看、修改、删除、打印的权限，而赵六对该客户不具有任何权限，可以选择赵六作为被授权者；授权时，显示出张三对该客户的操作权限项“查看、修改、删除、打印”，因为赵六对海尔电器公司这个客户不具有任何操作权限，则显示出的“查看、修改、删除、打印”都没有被选中；张三可以从“查看、修改、删除、打印”中的一项或部分或全部的权限选项授权给赵六。

销售部经理张三要将海尔电器公司这个客户对李四授权（不想让李四对该客户具有任何操作权限，因为张三已经让赵六全权负责该客户了），张三对海尔电器公司这个客户具有查看、修改、删除、打印的权限，而李四对该客户具有“查看”，可以选择李四作为被授权者；授权时，显示出张三对该客户的操作权限项“查看、修改、删除、打印”，因为李四对该客户具有“查看”操作权限，则显示出的“查看、修改、删除、打印”中的“查看”一项被选中；张三将显示出的“查看、修改、删除、打印”中选中的“查看”修改为“不选中”，该授权保存后，则李四对海尔电器公司这个客户将不再具有任何权限。

另外，张三不能对化工行业的客户进行授权控制，因为张三没有化工行业客户的任何操作权限。

（3）本申请能够对每条所选表单数据的每个表单字段的字段值的查看和/或修改权限分别进行授权，能够实现对表单字段值操作权限的分别授权，进一步提高了系统管理的精细度。

例如：针对所选的“格力电器销售订单”这条数据对某系统角色进行授权，允许某系统角色查看“格力电器销售订单”这条数据的“订单编号”、“客户名称”、“客户地址”、“客户所属行业”、“产品型号”、“产品数量”、“产品单价”，但不允许查看“电话”和“联系人”敏感字段的内容（即字段值），通过本方法可快速实现对每个字段的字段值的分别授权；又如，允许某系统角色查看“格力电器销售订单”这条数据的“产品单价”字段的内容，但“产品单价”字段内容不允许修改，本方法也可快速实现这种权限的授权。

（4）能够对两个或以上的被授权者进行同时授权，提高了表单数据操作权限授权效率；授权过程中，选择一个被授权者时，在授权者具有的权限项中选中被授权者对所选表单数据当前具有的操作权限项；选择多个被授权者时，在授权者具有的权限项中选中这些被授权者对所选表单数据当前共有的操作权限，或者分别罗列出每个被授权者对应的各个表单数据，并在授权者具有的权限项中选中每个被授权者对对应的各个表单数据的当前的操作权限，便于授权者在此基础上进行表单数据操作权限授权，进一步提高了授权效率。

（5）本申请角色对用户是一对一的关系，同一时段一个角色只能关联唯一的用户，一个用户关联一个或多个角色，这样做的好处是，只要将用户关联到角色即可获得权限（即用户获得其关联的角色的权限），而且角色的权限变更比传统机制中的用户权限变更要少得多。独立体性质（岗位号/工位号性质）的角色数量变化小，虽然员工流动大，但岗位号/工位号的变化小（甚至在一定时段内是没有变化的，即角色没有变化），这样将极大简化用户的权限管理，减少系统的开销。

（6）动态管理、入职调岗等的操作简单方便，效率高，可靠性高：入职/离职/调岗在权限管理中的应用简单，当员工/用户发生变化时不用重新设置权限，用户只需取消或关联角色即可：不再任职该角色的用户就取消该角色关联，接手任职该角色的用户关联该岗位号的角色，关联该角色的用户自动就获得了该角色的相关任务和操作权限，无需对角色进行重新授权（关联该角色的用户也自动获得了该角色的表单操作权限，也无需对该角色的表单操作权限进行重新授权），极大地提高了系统设置的效率、安全性和可靠性。

举例：因张三用户离职或调岗等原因，张三不再做“采购员3”这个角色的工作，则将张三取消与“采购员3”的关联；另外李四接手做“采购员3”这个角色的工作，只需将李四关联该角色，则李四自动获得了“采购员3”这个角色的表单字段值操作权限。

（7）传统的权限管理机制将角色定义为组、工种、类等性质，角色对用户是一对多的关系，在实际的系统使用过程中，因为在运营过程中经常需要对用户的权限进行调整，比如：在处理员工权限变化的时候，角色关联的某个员工的权限发生变化，我们不能因该个别员工权限的变化而改变整个角色的权限，因为该角色还关联了其他权限未变的员工。因此为了应对该种情况，要么创建新角色来满足该权限发生变化的员工，要么对该员工根据权限需求直接授权（脱离角色）。以上两种处理方式，在角色权限较多的情况下对角色授权不仅所需时间长，而且容易犯错，使用方操作起来繁琐又麻烦，也容易出错导致对系统使用方的损失。

但在本申请的方法下，因为角色是一个独立的个体，则可以选择改变角色权限即可达到目的。本申请的方法，虽然看起来在系统初始化时会增加工作量，但可以通过复制等方法，使其创建角色或授权的效率高于传统组/类性质的角色，因为不用考虑组/类性质角色在满足关联用户时的共通性，本申请方案会让权限设置清晰，明了；尤其是在系统使用一段时间后（用户/角色权限动态变化），该申请方案能为系统使用方大幅度提高系统使用中的权限管理效率，使动态授权更简单，更方便，更清晰、明了，提高权限设置的效率和可靠性。

（8）传统组/类性质的角色授权方法容易出错，本申请方法大幅降低了授权出错的几率，因为本申请方法只需考虑作为独立个体的角色，而不用考虑传统方法下关联该组性质角色的多个用户有哪些共通性。即使授权出错也只影响关联到该角色的那一个用户，而传统以组性质的角色则会影响关联到该角色的所有用户。即使出现权限授权错误，本申请的修正方法简单、时间短，而传统以组性质的角色在修正错误时需要考虑关联到该角色的所有用户的权限共通性，在功能点多的情况下不仅修改麻烦、复杂，非常容易出错，且很多情况下只能新创建角色才能解决。

（9）在传统以组为性质的角色授权方法下，若角色的权限功能点比较多，时间一长，很难记住角色的具体权限，更难记住权限相近的角色之间的权限差别，若要关联新的用户，无法准确判断应当如何选择关联。本申请方法的角色本身就具有岗位号/工位号的性质，选择一目了然。

（10）调岗时，若要将被调岗用户的很多个权限分配给另外几个用户承担，则处理时必须将被调岗用户的这些权限区分开来，分别再创建角色来关联另外几个用户，这样的操作不仅复杂耗时，而且还很容易发生错误。

本申请方法则为：被调岗用户关联了几个角色，在调岗时，首先取消用户与原部门内的角色的关联（被取消的这几个角色可以被重新关联给其他用户），然后将用户与新部门内的角色进行关联即可。操作简单，不会出错。

附图说明

图1为背景技术中系统直接对用户进行授权的方式示意图；

图2为背景技术中系统对组/类性质角色进行授权的方式示意图；

图3为背景技术中系统对用户直接授权和对组/类性质角色授权相结合的方式示意图；

图4为本发明系统通过独立个体性质角色对用户进行授权的方式示意图；

图5为现有表单授权方式根据客户行业进行授权的示意图；

图6为本发明对多个被授权者进行表单数据授权的示意图；

图7为本发明车间主管赵六对单个被授权者-张三进行表单数据授权的示意图；

图8为本发明车间主管赵六对单个被授权者-胡七进行表单数据授权的示意图；

图9为本发明授权时显示张三和胡七的共有操作权限的示意图；

图10为本发明授权时罗列显示张三及胡七的各表单数据操作权限的示意图。

具体实施方式

下面结合附图进一步详细描述本发明的技术方案，但本发明的保护范围不局限于以下所述。

本申请针对表单数据进行操作权限授权，与对表单进行授权的区别在于：对表单进行授权时，是指对某个表单的整个表单的操作权限的授权，例如：对合同表单的授权，其操作权限的授权将涵盖所有合同；而且表单中，各字段无具体字段值（即：表单授权时，该表单是否有相应的表单数据不影响该表单授权的授权操作；比如，对合同表单授权时，系统中是否已经创建了具体的合同数据/合同不影响合同表单授权的授权操作；或没有具体的合同，也可以进行合同表单的授权）。

对表单数据进行授权时，是指对某个表单的具体某条数据的授权，例如：对合同表单中的万科房产公司销售合同的授权，其操作权限的授权仅限于这一条表单数据。而且表单数据中，各字段（包括表单数据id/编号）中至少有一个字段的字段值是必填的，也就是说表单数据至少有一个字段是有字段值的。

传统表单授权方式能够做到：授权李四能够查看（修改、删除）电器行业的所有客户（比如电器行业的客户有10000个，其中一个客户是海尔电器公司），授权王五能够查看（修改、删除）建筑行业的所有客户（比如建筑行业的客户有5000个，其中一个客户是海天建筑公司）。但传统通过表单对表单数据操作权限进行授权的方式无法做到只针对海尔电器或海天建筑公司进行的操作权限授权，授权时存在一定的局限性。

如图5所示，销售部有销售员李四、王五、赵六，销售部经理是张三；以传统的通过表单（客户表单）对表单数据的操作权限（新增、查看、修改、删除、打印、导出）进行授权后，得到的结果是：李四负责电器行业的客户，其操作权限为新增、查看（电器行业的客户中有一个客户是海尔电器公司），王五负责建筑行业的客户，其操作权限为新增、查看、修改、删除（建筑行业的客户中有一个客户是海天建筑公司），赵六负责化工行业的客户，其操作权限为新增、查看；张三负责电器、建筑行业的客户，其操作权限为新增、查看、修改、删除、打印。传统方法对于被授权者而言，要么能看到某行业所有客户的表单数据，要么该行业一个客户的表单数据都看不到，无法单独控制某被授权者对海尔电器公司、海天建筑公司（具体某一条表单数据）的操作权限。

【实施例1】一种表单数据操作权限授权方法，包括一个选择表单数据的步骤、一个选择被授权者的步骤和一个操作权限授权步骤，选择表单数据的步骤和选择被授权者的步骤顺序不分先后；选择表单数据的步骤：选择一条或多条需要进行操作权限授权的表单数据；选择被授权者的步骤：选择一个或多个需要进行操作权限授权的被授权者；操作权限授权步骤：对所选被授权者进行所选表单数据的操作权限的授权。

表单数据操作权限授权方法还包括一个对每条所选表单数据的每个表单字段的字段值的查看和/或修改权限分别进行授权的步骤。

如图6所示，所述的操作权限授权步骤包括以下两种授权方式：（1）对所选的每一条表单数据分别进行操作权限授权；（2）对所选的所有表单数据整体进行操作权限授权，勾选操作权限项处（图中方框内，即“查看”列名）即可。

所述的操作权限包括查看、修改、删除、打印、关联信息的查看权限中一种或多种的组合。

所述的被授权者包括人、用户、组/类性质角色、独立个体性质角色中的一种或多种的组合。本实施例中，如图4所示，优选的，本申请被授权者为独立个体性质角色，独立个体性质角色与组/类性质角色不同，同一时段一个独立个体性质角色只能关联唯一的用户，而一个用户关联一个或多个独立个体性质角色。

所述独立个体性质角色归属于部门，该角色的名称在该部门下唯一，角色的编号在系统中唯一，根据角色的工作内容对角色进行授权，用户通过关联角色获得权限。用户跨部门调岗时，先取消用户与原部门内的角色的关联，再将用户与新部门内的角色进行关联。

以下对通过独立个体性质角色对用户进行表单数据操作权限授权方式所具备的优势进行分析：用户通过其与角色的关联确定（获得）权限，如果要修改用户的权限，通过调整角色所拥有的权限以达到改变关联了该角色的用户的权限的目的。一旦用户关联角色后，该用户就拥有了该角色的所有操作权限。

角色（独立个体性质角色）对用户的关系为一对一（该角色与一个用户关联时，其他用户则不能再关联该角色；若该角色未被用户关联，则可以被其他用户选择关联；即同一时段，一个角色能且只能被一个用户关联）。用户对角色的关系为一对多（一个用户可以同时关联多个角色）。

角色的定义：角色不具有组/类/类别/岗位/职位/工种等性质，而是一个非集合的性质，角色具有唯一性，角色是独立存在的独立个体；在企事业单位应用中相当于岗位号（此处的岗位号非岗位，一个岗位同时可能有多个员工，而同一时段一个岗位号只能对应一个员工）。

举例：某个公司系统中可创建如下角色：总经理、副总经理1、副总经理2、北京销售一部经理、北京销售二部经理、北京销售三部经理、上海销售工程师1、上海销售工程师2、上海销售工程师3、上海销售工程师4、上海销售工程师5……用户与角色的关联关系：若该公司员工张三任职该公司副总经理2，同时任职北京销售一部经理，则张三需要关联的角色为副总经理2和北京销售一部经理，张三拥有了这两个角色的权限。

传统角色的概念是组/类/岗位/职位/工种性质，一个角色能够对应多个用户。而本申请“角色”的概念相当于岗位号/工位号，也类同于影视剧中的角色：一个角色在同一时段（童年、少年、中年……）只能由一个演员来饰演，而一个演员可能会分饰多角。

在创建角色之后，可以在创建用户的过程中关联角色，也可以在用户创建完成后随时进行关联。用户关联角色后可以随时解除与角色的关联关系，也可以随时建立与其他角色的关联关系。

所述角色的构成为：岗位名+岗内编号。例如：车间生产工人1、车间生产工人2、车间生产工人3……角色是独立个体，相当于岗位号、工位号的概念，不同于传统权限管理体系中的角色，传统体系中角色的概念是岗位/职位/工种等的组/类性质。

以下举例员工张三进入某公司后，员工、用户与角色之间的关系为：1、新入职：员工新入职，直接为该用户（员工）选择相应的岗位号/工位号的角色进行关联即可，例：张三入职公司（公司为张三分配了一个张三用户），工作内容是在销售一部，负责北京区域冰箱产品的销售（对应的角色是销售一部下的“销售工程师5”这个角色），则张三用户直接选择“销售工程师5”这个角色关联即可。

2、增加职位：张三工作一段时间后，公司还安排张三负责北京区域电视产品的销售（对应的角色是销售一部下的“销售工程师8”这个角色）并兼任售后部主管（对应售后部主管1这个角色），则张三用户再增加关联销售一部下的“销售工程师8”和售后部下的“售后部主管1”这两个角色，此时，张三员工关联了三个角色，分别为销售一部下的“销售工程师5”、“销售工程师8”和售后部下的“售后部主管1”，张三用户则拥有了这三个角色的权限。

3、减少职位：又过了一段时间，公司决定让张三任职售后部经理（对应售后部下“售后部经理”这个角色），且不再兼任其他工作。则张三用户关联售后部下“售后部经理”这个角色，同时取消此前关联的三个角色（销售一部下的“销售工程师5”、“销售工程师8”和售后部下的“售后部主管1”），此时，张三用户只拥有售后部下“售后部经理”这个角色的权限。

4、角色权限的调整（针对角色本身所拥有的权限的调整）：如公司决定增加售后部经理的权限，则只需增加对售后部经理这个角色的授权即可，则张三用户因为售后部经理这个角色的权限增加了，张三用户的权限也增加了。

5、离职：一年后，张三离职了，则取消张三用户与售后部下“售后部经理”这个角色的关联即可。

举例：公司在动态的经营中，职员的入职、离职是经常持续发生的，但岗位号/工位号的变化非常少(甚至在一定时期内是没有变化的)。

传统授权方法：在系统功能点多的情况下，以传统的组/类性质的角色进行授权，不仅授权工作量大，繁杂，而且很容易出错，甚至出错了在短时间内都不容易发现，容易对系统使用方造成损失。

本申请授权方法：本申请是对岗位号/工位号性质的角色进行授权，用户关联角色而确定（获得）权限，则对用户权限的控制，通过简单的用户-角色的关联关系来实现，让权限控制变得简单、易操作，清晰明了，大幅度提高了授权效率和授权可靠性。

【实施例2】一种表单数据操作权限授权方法，包括以下顺序步骤：s1：选择表单数据：授权者选择一条或多条需要进行操作权限授权的表单数据；s2：选择被授权者：授权者选择一个或多个需要进行操作权限授权的被授权者，所述被授权者对所选表单数据的操作权限应当小于或等于所述授权者对所选表单数据的操作权限；s3：操作权限授权步骤：对所选被授权者进行所选表单数据的操作权限的授权。

如图7和图8所示，选择一个被授权者时，显示出该授权者对所选表单数据具有的所有操作权限项，同时从授权者具有的所有操作权限项中选中所选被授权者对所选表单数据当前具有的操作权限项，方便授权者在此基础上进行修改。

如图9所示，选择多个被授权者时，显示出该授权者对所选表单数据具有的所有操作权限项，同时从授权者具有的所有操作权限项中选中所选被授权者对所选表单数据当前共有的操作权限项。如图10所示，选择多个被授权者时，也可以罗列显示各被授权者对应的各个所选表单数据，并选中各被授权者对各个所选表单数据当前具有的操作权限项，便于授权者在此基础上进行表单数据操作权限授权，进一步提高了授权效率。

能对所选的每条表单数据的每个表单字段的字段值的查看和/或修改权限进行分别授权，针对同一条所选的表单数据，所述被授权者对该条表单数据的每个表单字段的字段值的操作权限应当小于或等于所述授权者对该条表单数据的每个表单字段的字段值的操作权限。

本申请授权者既可以是系统设置人员，也可以是具有一定表单数据操作权限的部门主管等，部门主管可以根据其所具备的操作权限对权限小于或等于他的被授权者进行授权操作，便于部门主管根据需要进行表单数据的授权控制，便于企业中层领导执行管理工作，符合企业实际使用需求。

举例：销售部经理张三考虑到销售人员赵六曾经在海尔电器公司担任过管理人员，便于销售洽谈，所以想让赵六负责该客户，张三要将海尔电器公司这个客户授权给赵六，张三仅授权赵六具有“海尔电器公司”这条表单数据的查看、修改等权限，其他员工都不具备这些权限。张三对海尔电器公司这个客户具有查看、修改、删除、打印的权限，而赵六对该客户不具有任何权限，可以选择赵六作为被授权者；授权时，显示出张三对该客户的操作权限项“查看、修改、删除、打印”，因为赵六对海尔电器公司这个客户不具有任何操作权限，则显示出的“查看、修改、删除、打印”都没有被选中；张三可以从“查看、修改、删除、打印”中的一项或部分或全部的权限选项授权给赵六。

销售部经理张三要将海尔电器公司这个客户对李四授权（不想让李四对该客户具有任何操作权限，因为张三已经让赵六全权负责该客户了），张三对海尔电器公司这个客户具有查看、修改、删除、打印的权限，而李四对该客户具有“查看”，可以选择李四作为被授权者；授权时，显示出张三对该客户的操作权限项“查看、修改、删除、打印”，因为李四对该客户具有“查看”操作权限，则显示出的“查看、修改、删除、打印”中的“查看”一项被选中；张三将显示出的“查看、修改、删除、打印”中选中的“查看”修改为“不选中”，该授权保存后，则李四对海尔电器公司这个客户将不再具有任何权限。

另外，张三不能对化工行业的客户进行授权控制，因为张三没有化工行业客户的任何操作权限。

【实施例3】一种表单数据操作权限授权方法，包括以下顺序步骤：ss1：选择被授权者的步骤：授权者选择一个或多个需要进行操作权限授权的被授权者；ss2：选择表单数据的步骤：授权者选择一条或多条需要进行操作权限授权的表单数据；所选被授权者对所述表单数据的操作权限应当小于或等于授权者对所述表单数据的操作权限；ss3：操作权限授权步骤：对所选被授权者进行所选表单数据的操作权限的授权。

如果有多个授权者针对同一条表单数据对某被授权者a进行了数据操作权限授权，那么该被授权者a针对这条表单数据的操作权限应当是各授权者所授予的操作权限相叠加（只要有一个授权者授予被授权者具有表单数据的某操作权限，则最终该被授权者将具有该操作权限）。例如：一个授权者授予a对某表单数据的操作权限是能修改/不能删除/能打印，另一个授权者授予a对该表单数据的操作权限是不能修改/能删除/不能打印，那么被授权者a对该表单数据的最终操作权限是：能修改/能删除/能打印。

又如：张三对赵六授权了海尔电器公司的“查看、修改”权限，另外一个人又对赵六授权了“查看、打印”权限，则赵六对“海尔电器公司”拥有“查看、修改、打印”权限。

本实施例中，先选被授权者，再选数据：张三选择了被授权者李四、王五、赵六，张三可以选择电器、建筑行业的任何一个或多个客户（因为张三对电器、建筑行业的客户的操作权限都大于李四、王五、赵六任何一人的操作权限），张三也可以选择其他的操作权限大于等于李四、王五、赵六三人操作权限的表单数据（比如合同、订单的表单数据，张三至少要有合同、订单的表单数据的查看权限）。

为了保障数据安全，系统可以对“数据授权”的操作权限进行控制，其控制方式包括：在进行表单的操作权限授权时，只有被授权者被授权了该表单的“数据授权”操作权限，该被授权者才可以对自己有“数据授权”的表单对应的表单数据中有权限的表单数据进行授权。如上举例：在进行客户表单授权时，对张三授权了客户表单的“数据授权”的操作权限，则张三可以对自己有权限的表单数据（电器、建筑行业的客户）进行授权，虽然张三是销售部的经理，但其没有化工行业客户的权限，所以不能对化工行业的客户进行数据授权。

表单数据的授权优先级高于表单的授权：当以表单方式授权的表单数据中包含本申请授权方式的表单数据，该类数据以本申请的授权权限执行。

举例：若以表单授权的方式对张三进行了客户表单的授权（授权了查看、修改权限），授权后，张三被授权的客户中包含了客户a；以本申请的方式对张三也进行了对客户a的授权（授权为查看、修改、删除权限）；则张三对客户a这条数据的操作权限以本申请授权的权限执行，即对客户a能够进行查看、修改、删除。若以表单授权的方式对张三进行了客户表单的授权（授权了查看、修改权限），授权后，张三被授权的客户中包含了客户a；以本申请的方式对张三也进行了对客户a的授权（一个权限都没有授权，即：授权不能进行查看、修改等任何操作）；则张三对客户a这条数据的操作权限以本申请授权的权限执行，即对客户a不能进行查看修改等任何操作。

作为优选，授权者可以取消以本申请方式的授权，被取消的该次授权涉及的数据不再受本申请授权方式的控制：授权者可以取消对客户a的以本申请方式的授权，当授权者取消针对客户a对张三的以本申请方式的该次授权后（即：将此前已经授权了的该次授权取消了），张三以表单授权的权限对客户a进行操作（因为没有本申请方式的授权对客户a的操作进行控制了），即：张三对客户a的权限为查看、修改。

以上所述仅是本发明的优选实施方式，应当理解本发明并非局限于本文所披露的形式，不应看作是对其他实施例的排除，而可用于各种其他组合、修改和环境，并能够在本文所述构想范围内，通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围，则都应在本发明所附权利要求的保护范围内。